重磅!天融信发布《2021年网络空间安全漏洞调研分析报告》
据CNVD公开数据显示,2020年披露漏洞共20248枚,2021年披露漏洞17702枚,同比降低13%。天融信阿尔法实验室发布《2021年网络空间安全漏洞调研分析报告》,报告显示,2021年1-12 月,低危漏洞 33.5%,中危漏洞 57.3%,高危漏洞 9.2%;2021年高危漏洞类型分布更是相对集中,代码执行类型的漏洞占比较高,这类高危漏洞对网络空间安全的威胁远远高于其他类型漏洞,此类高危漏洞数量的占比也预示了当前严峻的网络安全态势。
报告从「2021年度漏洞趋势概况」、「2021年度高危漏洞预警情况概述」、「2021年度漏洞总结」三大部分,探究漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
2021年度漏洞趋势概况
01
CNVD漏洞库安全漏洞调研概况
漏洞的统计与评判是评估网络安全情况的一个重要指标,天融信阿尔法实验室参考CNVD漏洞数据库数据,从「漏洞威胁等级统计」、「漏洞利用攻击位置统计」、「漏洞影响对象类型统计」、「漏洞产生原因统计」、「漏洞引发威胁统计」、「漏洞增长趋势」对 2021 年披露的漏洞进行了全方位的统计分析。
左右滑动查看更多
(图中数据来自于CNVD)
02
CVE漏洞库安全漏洞调研概况
通过对CVE在2021年公布的漏洞按CVSS评分高低进行排序,天融信筛选了CVSS基本评分最高的前100个漏洞进行统计分析。此次统计分析主要从「漏洞所影响厂商」、「影响平台」、「攻击途径」、「披露时间」、「漏洞类型」以及「POC公开情况」等6个方面展开。
左右滑动查看更多
(图中数据来自于CVE)
2021年度高危漏洞预警情况概述
年度TOP10高危漏洞
危害程度 排名 | 漏洞编号 | 标题 |
NO.1 | CVE-2021-44228 | Apache Log4j2任意代码执行漏洞 |
NO.2 | CVE-2021-2394 | Weblogic任意代码执行漏洞 |
NO.3 | CVE-2021-2397 CVE-2021-2382 | Oracle任意代码执行漏洞 |
NO.4 | CVE-2021-24074 CVE-2021-24094 CVE-2021-24086 | Windows的TCP/IP协议簇远程代码执行漏洞&拒绝服务漏洞 |
NO.5 | CVE-2021-22005 | VMware vCenter Server未授权任意文件上传漏洞 |
NO.6 | CVE-2021-42321 | Microsoft Exchange Server远程代码执行漏洞 |
NO.7 | CVE-2021-42287 | Microsoft Windows Active Directory 域服务权限提升漏洞 |
NO.8 | CVE-2021-1647 | Windows Defender远程代码执行漏洞 |
NO.9 | CVE-2021-25646 | Apache Durid 远程代码执行 |
NO.10 | CVE-2021-26919 | Apache Druid 远程代码执行漏洞 |
2021年度漏洞总结
减少漏洞是避免安全事件发生的根源,这就要求开发人员在掌握编程能力的同时,还应具备安全开发意识。开发人员不仅需要熟悉CWE TOP25(MITRE公布的前25个最危险软件安全缺陷知识库)漏洞的成因及危害,还应将安全性测试环节添加到软件的开发过程中,使得项目具备DevSecOps能力,至少应在软件开发过程中增加代码审计工程师或代码审计工具对代码进行审计。只有提升漏洞管理效率,才是高效的安全处理法则。
「识别二维码」或「点击阅读原文」获取详细报告
如有错漏敬请指正
天融信阿尔法实验室
天融信阿尔法实验室成立于2011年,一直以来,实验室秉承"攻防一体"的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的专业安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供了强有力的技术支撑。相关阅读
1、攻防一体!天融信阿尔法实验室获评年度杰出安全实验室2、天融信发布Apache Log4j2漏洞处置方案,请抓紧排查升级~3、连续八年一级!天融信再获CNNVD优秀技术支撑单位称号4、强网论坛|天融信李雪莹博士:漏洞防治应是“平台+人才”的体系化建设